Внимание!!! Гость. Большинство разделов форума предназначены для зарегистрированных участников, поэтому ув. Гость, лучше бы тебе зарегистрироваться :). Тем более, что регистрация займет у тебя не более 1 минуты, зато существенно расширит твои права и возможности на этом форуме

(i)

Новостей.COM - ежедневные новости различной тематики
Правила форума Запрещено

1) Создавать темы типа "Зацените мой сайт" 2) Публиковать реф-ссылки 3) Рекламировать пирамиды ("cчасливые" кошельки) 4) Рекламировать другие форумы

  Ответить Новая тема Создать опрос

> Ɲ | Хитрый вирус ловили целый месяц
LaveLord   (i)
Дата 22.04.2006 - 09:03
Ваш Лорд
******
Пользователя сейчас нет на форуме Детально о участнике
Повелитель
Репутация: 23 голосов

(Знак Зодиака: Aquarius)
Пригласил(а): 2
Kполезности = 1.57
Флудометр: 0.83% флуда
В марте этого года по различным пиринговым сетям начал распространяться опасный полиморфный вирус Win32.Polipos. Первой его детектировала служба вирусного мониторинга компании «Доктор Веб» - 20 марта он был добавлен в вирусную базу Dr.Web. Что же касается всех остальных антивирусов, то до последнего времени обнаружить Polipos они не могли, несмотря на то, что его присутствие в P2P-сетях не является ни для кого новостью уже около месяца.
В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a. На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии, и не выявлено до сих пор. В то же время были зафиксированы множественные обращения по поводу других, более опасных вредоносных программ — например, Bagle, Gpcode, LdPinch и целого ряда других, значительно распространившихся в Сети в последние недели». В Panda Software нам заявили, что образец вируса у них уже имеется, не сообщив других подробностей. На данный момент, по информации «Лаборатории Касперского», кроме Dr.Web, вирус детектируют Avira (определяется как W32/Regenig) и Fortinet (W32/Polipos.V12).
В «Доктор Веб», в свою очередь, говорят, что на официальном сайте Fortinet в режиме онлайн вирус не обнаруживается, а Avira не определял его еще вчера. «До сих пор ни один известный на российском рынке антивирус не определяет этот вирус», — заявили CNews в пресс-службе «Доктор Веб».
Как сообщили корреспонденту CNews специалисты «Доктор Веб», ими были получены десятки запросов от пользователей (в основном, пользователей P2P-клиентов), пострадавших от Polipos, из разных стран, на счету вируса — тысячи зараженных файлов. Степень опасности вируса оценивается как высокая: Polipos пытается блокировать нормальную работу антивирусов, удаляя важные для них файлы, может раскрывать конфиденциальную информацию, открывая доступ к зараженной системе.
пециалисты «Доктор Веб» разработали и процедуру лечения файлов, зараженных вирусом Win32.Polipos. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит — все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.
Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.
Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при ее наличии — «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

CNews.ru


Присоединённое изображение (Нажмите для увеличения)
Присоединённое изображение
Подгрузить в сообщение полную версию изображения


--------------------
Пусть будет так,как я хочу,ибо я не хочу ничего плохого...
Top  

Похожие темы // Искать еще похожие темы
В Интернете - три беды: спам, вирусы и дураки
На автора вируса Phatbot вешают кражу Half-Life 2
Вирусное сафари онлайн
Обнаружен первый 64-битный вирус
Вирус MyDoom снова предпочитает поисковик Google
- Модуль "Похожие темы" работает в тестовом режиме. Коментарии относительно его работы принимаются в этой теме


Опции темы Ответить Новая тема Создать опрос